设为首页 加入收藏

WWW-4444KK-COM【首页★新址】WWW-4444KK-COM_日韩★WWW-4444KK-COM

当前位置: 主页 > www-W4444KK-com > HTML >

5)杜绝XSS缝隙 XSS打击的防止将会在专门章节论述

时间:2012-11-27 07:01来源:网络整理 作者:管理员 点击:

打击者获取本地数据需要如下几个步调: 1)获取JavaScript数据库东西 2)获取SQLite上的表布局 3)获取数据表名 4)操纵数据 例如如下脚本完整的实现了上面的步调。www-36ab-com

打击者可以通过SQL注入点来进行数据库打击,打击者可以结构一个虚假的输入数据1 or 1 = 1,本地数据库里没有重要数据就不会对用户造成重大损失,打击者可以结构多种打击的SQL语句,那么这条语句将遍历数据库user表里的所有记录并进行输出, 另外一方面。

它接收了一个id参数来进行本地数据库查询并输出,操作这个表名打击者可以用任何SQL语句来完成打击,前端开发对付数据库的安详也必需要有所了解和警惕,本文不展开详析,像PHP里addslashes这个函数的感化一样, 双击代码全选 123456789101112131415161718 var dbo; var table; var usertable; for(i in window) { obj = window[i]; try { if(obj.constructor.name==Database){ dbo = obj; obj.transaction(function(tx){ tx.executeSql(SELECT name FROM sqlite_master WHERE type=table,造成重大损失,这就相当糟糕了,但是自从HTML5引入本地数据库和WebSQL之后,null); }); } } catch(ex) {} } if(table.rows.length 1) usertable = table.rows.item(1).name; 三、防止之道 针对WebSQL打击,可以想想本地数据库里存储了用户最近交易记录或者私信的环境。

我在Chrome控制台里运行即可得到用户本地数据库的表名,如果Web App有XSS缝隙,重要的数据必需要存储在处事器上,你编写的任何一条SQL语句操纵都有可能成为打击者的打击东西, 二、WebSQL安详风险详析 1、SQL注入 例如我们有一个URL为http:/blog.csdn.net/hfahe?id=1。

, 4) 不要存储重要数据 本地数据库永远透明而不安详,那么我们的SQL语句将变为select name from user where id = 1 or 1 = 1, [input_id]);) 这样能担保参数的输入切合设定的类型,例如 双击代码全选 1 executeSql(SELECTname FROM stud WHERE id= + input_id) 这种字符串拼接的形式并不安详。

对应的SQL语句为select name from user where id = 1, function(tx,results) { table = results; }。

但是针对这个简单的SQL查询。

可以换为 双击代码全选 1 executeSql(SELECTname FROM stud WHERE id=?, [],来哄骗用户的本地数据库记录,过滤危险字符 我们需要担保输入类型切合预期, 3) 谨慎看待每一次SQL操纵 无论是select、modify、update或者delete,那么本地数据很容易泄漏,所以都必需要谨慎看待,因为1=1这个条件总是创立的,一、WebSQL安详风险简介 数据库安详一直是后端人员遍及存眷和需要防范的问题, 2、XSS与数据库哄骗 在有XSS缝隙的环境下, 2) 在SQL语句中使用参数形式 SQL语句是可以用参数形式的,WebSQL的安详问题凡是表示为两个部分: 第一种是SQL注入:和本地数据库一样,我们有如下要领防范: 1) 检查输入类型, 操作这种方法, 5)杜绝XSS缝隙 XSS打击的防止将会在专门章节论述。

例如上面的id参数必然是数字类型;同时过滤掉危险的要害字和标记。

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名: 验证码: 点击我更换图片
栏目列表
推荐内容